Az utolsó pillanatban a finanszírozási meghosszabbítás megmentette a rendszert, de csak 11 hónapig
Miért számít: A szoftver sebezhetőségét lefedő cikkek általában tartalmazzák a CVE -kódokat, amelyeket a technológiai vállalatok világszerte használnak a kiberbiztonsági fenyegetések azonosítására. A CVE adatbázist kezelő program finanszírozása majdnem lejárt ezen a héten, potenciálisan veszélyeztetve a globális kiberbiztonsági koordinációs erőfeszítéseket. Noha a válságot az utolsó pillanatban elkerülték, a kiberbiztonsági közösség megkezdte a lépéseket az ismétlés elkerülése érdekében.
Az Egyesült Államok Belbiztonsági Minisztériuma kiterjesztette a közös sebezhetőségek és expozíciós (CVE) program finanszírozását, amelyet szerdán végeztek. A szakértők figyelmeztetik, hogy a program kritikus jelentőségű a kiberbiztonsági erőfeszítések világszerte.
A CVE -kódok egy szabványosított rendszert biztosítanak, amely lehetővé teszi a technológiai vállalatok, a kutatók és a hackerek számára a sebezhetőségek azonosítását és kezelését. Például az Apple, a Microsoft, a Mozilla és más cégek biztonsági tanácsadói oldalai a rendszert használják a problémák címkézésére. Noha az entitások szerte a világon a CVE-kódokra támaszkodnak, hogy megbizonyosodjanak arról, hogy ugyanazokat a sebezhetőségeket tárgyalják, ez egy kormány által finanszírozott programtól függ, amelyet a MITER Corporation üzemeltet.
TÖRÉS. Megbízható forrásból. A CVE program utáni támogatási támogatása holnap lejár. A mellékelt levelet elküldték a CVE igazgatósági tagjai számára.
(kép vagy beágyazás)
– Tib3rius (@tib3rius.bsky.social) 2025. április 15 -én, 13:23
Yosry Barsoum, a Hazagazdálkodás Biztosítási Központjának alelnöke és igazgatója feljegyzésre figyelmeztető CVE igazgatósági tagokat küldött, hogy a finanszírozás április 16-án lejár. Miért nem engedélyezett a DHS szinte megengedte a CVE finanszírozásának megszűnését, de az esemény a Trump adminisztráció agresszív kormányzati költségcsökkentési kampánya mellett történt.
A szakértők gyorsan riasztást emeltek, kiemelve a CVE fontosságát. Jen Easterly, az Egyesült Államok kiberbiztonsági és Infrastruktúra Biztonsági Ügynökségének (CISA) volt igazgatója, amelyet CVE -nek hívtak a Cybersecurity Dewey decimális rendszerének. Elmagyarázta, hogy annak megszűnése lassítja a globális kiberbiztonsági koordinációs erőfeszítéseket, mivel a különböző szervezetek pazarolhatják az időt egymás lépéseinek visszavonására. Egy ilyen helyzet gyengítheti az új fenyegetésekre adott válaszokat, és előnyt jelenthet a támadók számára.
Szerdán a CVE igazgatósági tagok egy csoportja létrehozta a CVE Alapítványt, egy külön nonprofit szervezet, amely kizárólag a CVE adatbázis fenntartására összpontosított, ha a MITER finanszírozása lejárt. A lépés a tervezés több mint egy éve következik, és az alapítvány várhatóan további információkat fog közzétenni az elkövetkező napokban. Az európai kiberbiztonsági csoportok nemrégiben létrehozták az Európai Unió sebezhetőségi adatbázist, amely tartalmazza a CVE kódokat és az EUVD címkét hordozó új IDS rendszert.
Noha a DHS finanszírozása folytatódott, a meghosszabbítás csak 11 hónapig tart, és a megújítás valószínűsége 2026 márciusában nem egyértelmű. A finanszírozás a közös gyengeségi felsorolási (CWE) programot is befolyásolja.